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English Abstract 

Method for generating authenticated secret codes 

Given a method for generating authenticated secret codes, the same 
mathematical calculating operations are used during a preauthentication and a following 
key setup. For the preauthentication of the subscribers A and B, each subscriber selects 
a finite body [or. corpus, domain] GF (p) (resp. GF(q)), an element a (resp. p) from the 
finite body GF (p) (resp. GF (q)) and a first secret random number 

{x e 0 p- 2 } (resp. {ye 0 q- 2}). 

It subsequendy generates an authentication key 

oc* c resp. (3?), 

in that it exponentiates its element a (resp. (3) with its first secret random number 
x (resp. y), 

and makes it public in an authenticated way together with the finite body GF (p) (resp. 
GF(q)) and the element a (resp. (3). Given the key setup, the two subscribers proceed in 
that each of the two subscribers A (resp. B) generates a second secret random number [x 
e 0 .. q - 2] (resp. [y e 0 q - 2 ]) and an operating key (resp. (?) in that it exponentiates 
the element § (resp. a) of the other subscriber B (resp. A) with its second secret random 
number x (resp. y), and the two subscribers A and B exchange the values and cP and 
calculate the common authenticated secret key 

A A 

a xy. py* 
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(§) Verfahren zur Erzeugung von authentifizierten Geheimschliisseln 

beiden Teilnehmer A und B die Gro&en 0* und av austau- 
schen und den gemeinsamen authentifizierten Geheim- 
schlussel 



Bei einem Verfahren zur Erzeugung von authentifizierten 
Geheimschlusseln werden bei einer Praauthentifikation und 
einem nachfolgenden Schlusselaufbau dieselben mathema- 
tischen Rechenoperationen eingesetzt. Fur die Praauthenti- 
fikation der Teilnehmer A und B wahlt jeder Teilnehmer ei- 
nen endlichen Korper GF(p) {resp. GF(q)), ein Element be 
(resp. p) aus dem endlichen Korper GF(p) (resp. GF(q)) und 
eine erste geheime Zufallszahl 

{x e C.p-2} (resp. {y e 0 ..q-2)) 

Dann erzeugt er einen Authentifikationsschlussel 



a"' - 8 

berechnen. 
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indem er sein Element a. (resp. 0) mit seiner ersten geheimen 
Zufallszahl 

S (resp- y ) 

potenziert, und gibt diesen zusammen mit dem endlichen 
Korper GF(p) (resp. GF(q)) und dem Element a (resp. ft) in 
authentifizierter Weise offentlich bekannt. Beim Schlussel- 
aufbau gehen die beiden Teilnehmer A und B so vor, daft 
jeder der beiden Teilnehmer A (resp. B) eine zweite geheime 
Zufallszahl [x t 0 .. q-2] (resp. [y e O .. p-2]) und einen Be- 
triebsschlussel 0* (resp. av) erzeugt, indem er das Element p 
(resp. cc) des anderen Teilnehmers B (resp. A) mit seiner 
zweiten geheimen Zufallszahl x (resp. y) potenziert, und die 
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Beschreibung 
Technisches Gebiet 

5 

Die Erfindung beschreibt ein Verfahren zur Erzeu- 
gung von authentifizierten Geheimschlusseln. 

Stand derTechnik 

Zum authentifizierten Schliisselaustausch sind im we- 
sentlichen die folgenden Verfahren bekannt 

— Authentifikation eines zufallig erzeugten Schliis- 
sels durch die Sprache, z. B. CH-Patentanmeldung 15 
Nr. 4307/87-0 

— Authentifikation eines zufallig erzeugten Schliis- 
sels durch elektronische Signatures 

a) mit einem symmetrischen Chiffrieralgorith- 
mus, 20 

b) mit dem RSA Verfahren (siehe R. L. Rivest, 
A. Shamir, L. Adleman, "A method for obtai- 
ning digital signatures and public-key crypto- 
systems". Comm. of the ACM, Vol. 21, 
pp. 120-126, 1978) 25 

c) mit dem Ei-Gamal Verfahren (siehe T. El- 
Gamal, "A public key cryptosystem and a si- 
gnature scheme based on discrete logarithms", 
IEEE Trans, on Information Theory, Vol. IT- 
31, pp. 469-471, July 1985), 30 

d) Schliisselaustausch mit dem Diffie-Hellman 
Verfahren (siehe W. Diffie, M. Hellman, "New 
directions in Cryptography", IEEE Trans, on 
Information Theory, Vol. IT-22, pp. 472-492, 
1976). 35 

Allen Verfahren ist gemeinsam, daB sie eine Praau- 
thentifikation benotigen. Dies ist uberhaupt eine Eigen- 
schaft aller Authentifikationsverfahren und beruht dar- 
auf, daB es unmoglich ist jemanden zu identifizieren, den 40 
man nicht entweder bereits kennt oder von dem man 
nicht uber eine vertrauenswiirdige Quelle weiB, wer er 
ist. Eine mogliche Form der Praauthentifikation ist, daB 
jeder Teilnehmer zu einer Schlusselauthentifikations- 
zentrale geht, sich mit seinem ReisepaB ausweist, ein 45 
eigenes Merkmal hinterlegt und ein entsprechendes 
Merkmal der Zentrale mitnimmt. Im Fall von mehreren 
Zentralen mussen auch diese untereinander in entspre- 
chender Weise vorgehen. Die Merkmale die benutzt 
werden, sind dabei vom verwendeten Verfahren abhan- 50 

Die verschiedenen Verfahren unterscheiden sich in 
zweierlei Hinsicht, in ihrer Benutzerfreundlichkeit und 
der durch sie gewahrten Sicherheit. 

55 

— Die Authentifikation durch die Sprache ist bei 
gewissen Anwendungen nur bedingt benutzer- 
freundlich. 

— Die Signatur mit einem symmetrischen Chiffrie- 
ralgorithmus hat den Nachteil, daB, wenn der so- eo 
wohl beim Teilnehmer als auch in der Zentrale be- 
kannte geheime Authentifikationsschliissel be- 
kannt wird, die gesamte Kommunikation, die mit 
diesem Schlussel authentifiziert wurde, nachtrag- 
lich dechiffriert werden kann. 65 

— Ahnlich, aber bereits etwas weniger schlimm, 
verhalt es sich bei den publizierten Signaturen, d. h.. 
beim RSA- und El-Gamal-Verfahren: Wenn der ge- 
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heime Dechiffrierschlussel des Teilnehmers A, der 
bei diesem Verfahren nur noch im Besitz dieses 
Teilnehmers ist, bekannt wird, konnen alle Daten- 
ubertragungen, die unter diesem Schlussel jemals 
beim Teilnehmer A eingegangen, d. h., von auBen 
initialisiert worden sind, dechiffriert werden. Durch 
eine geringfugige Ausdehnung dieses Verfahrens 
laBt sich erreichen, daB die geheimen Dechiffrier- 
schlussel beider Teilnehmer bekannt werden miis- 
sen, damit obige Situation eintreten kann. Ein wei- 
terer Nachteil des RSA-Verfahrens liegt schlieBlich 
in der komplizierten Erzeugung der RSA-Schlussel. 
— das Diffie-Hellman Verfahren hat schlieBlich 
den Nachteil, daB zwischen zwei gleichen Teilneh- 
mern stets der gleiche Schlussel vermerkt wird, was 
zu einer ahnlichen Situation wie beim RSA-Verfah- 
ren fuhrt. 

Darstellungder Erfindung 

Aufgabe der Erfindung ist es entsprechend ein Ver- 
fahren zur Erzeugung von authentifizierten (und gehei- 
men) Schliisseln anzugeben, das nur zwischen den ge- 
wiinschten Teilnehmern zum Erfolg fuhrt (Authentifika- 
tion) und auBerdem bei einer erneuten Schlusselerzeu- 
gung im allgemeinen zu anderen Schliisseln fuhrt. 

ErfindungsgemaB besteht die Losung darin, daB der 
Teilnehmer A (resp. B)in einer Praauthentifikationspha- 
se, ahnlich wie beim Diffie-Hellman Verfahren, die fol- 
genden Schritte durchfuhrt: 

PI) Der Teilnehmer A (resp. B) wahlt einen geeig- 
neten endlichen Korper GF(p)(vQsp. GF(q)) und ein 
geeignetes Element ae GF(p)(resp. Pe GF(q)y Au- 
Berdem wahlt er zufallig eine Zahl xe 0 ... p — 2 
(resp. ye 0 . . . q— 2) die er fur immer geheim halt. 
P2) Er bildet a* (resp. ^) und gibt diesen zusammen 
mit GF(p) und a (resp. mit GF(q) und p) in authenti- 
fizierter Weise bekannt, z. B. indem er sie in einer 
Authentifikationszentrale hinterlegt. 

Durch diese vorbereiteten Schritte konnen nun die 
Teilnehmer A und B zu jedem Zeitpunkt uber eine ins- 
besondere nicht abhorgeschutzte Verbindung einen au- 
thentifizierten nur von einem bekannten Schlussel wie 
folgt konstruieren: 

51. Die Teilnehmer A und B verschaffen sich die 
Authentifikationsmerkmale (GF(q% # Ph und 
(GF(p) y a f a*) ihrer Partner Bund A. 

52. Die Teilnehmer A und B wahlen zufallig eine 
zweite Zahl \x £ 0 . . . q-2), [y e 0 . . . p-2}, die sie 
wieder fur immer geheim halten. 

53. Sie bilden die GroBen P* und a y und tauschen 
diese aus. 

54. Teilnehmer A bildet die GroBe 

(ayf(pyr = a* y p xSf 

im kleinsten Erweiterungskorper der GF(p) und 
GF(q) enthalt und Teilnehmer B bildet im gleichen 
Korper die GroBe 

Diese gemeinsame GroBe, die, sofern das Diffie- 
Hellman Verfahren sicher ist, nur sie kennen kon- 
nen, verwenden sie als gemeinsamen Schlussel. 
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In einer bevorzugten Ausfuhrungsform verwenden A 
und fldenselben endlichen Korper CF(p) und dasselbe 
Element. In diesem Fall lautet der Geheimschlussel 



Kurze Beschreibung der Zeichnungen 



10 



15 



Nachfoignd soil die Erfindung anhand von Ausfuh- 
rungsbeispielen und im Zusammenhang mit den Zeich- 
nungen naher erlautert werden. Es zeigen: 

Fig. 1 ein Verschlusselungsgerat, welches nach dem 
erfindungsgemaflen Verfahren arbeitet, und 

Fig. 2 eine schematische Darstellung des erfindungs- 
gemaQen Verfahrens. 

Wege zur Ausfuhrung der Erfindung 

Fig. 1 zeigt eine Ausfuhrungsform eines Chiffrierge- 
rats 12, welches nach dem erfindungsgemaBen Verfah- 20 
ren arbeitet. 

An einem DatenanschluB 1. wo z. B. eine EDV-Anlage 
angeschlossen ist, werden Daten im Klartext an das 
Chiffriergerat abgegeben bzw. von diesem entgegenge- 
nommen. Entsprechend werden am KanalanschluB 11 25 
die chiffrierten Daten abgegeben bzw. entgegengenom- 
men. Das Chiffriergerat muB dabei wie die EDV-Anlage 
gegen unbefugten Zugriff geschiitzt werden. 

Das Chiffriergerat 12 umfaBt vorzugsweise folgende 
Elemente: einen Chiffriergenerator 2, einen Schalter 3, 30 
einen Kanalcodierer/Modulator 4, einen Monitor 5, ei- 
nen Authentifikationsprozessor 6, eine Eingabeeinheit 
7, eine Anzeige 8, einen Speicher 9 und einen Zufallszah- 
lengenerator 10. 

Der Chiffriergenerator 2 verschltisselt den Klartext 35 
und fiihrt den verschliisselten Text uber den Schalter 3 
dem Kanalcodierer 4 zu. Dieser codiert z. B. den ver- 
schliisselten Text damit allfallige Fehler korrigiert wer- 
den konnen, um die Synchronisation beim Empfanger zu 
erleichtern, moduliert das Signal auf die Tragerfrequenz 40 
usw. und an einen anderen, zweiten Teilnehmer B. 

Der Chiffriergenerator 2 wird mit einem authentifi- 
zierten Geheimschlussel gestartet, weicher vom Au- 
thentifikationsprozessor 6 erzeugt und abgegeben wird. 
Der Authentifikationsprozessor 6 ist mit der Anzeige 8 45 
und der Eingabeeinheit 7 verbunden, mit weicher das 
Gerat gestartet und kontrolliert werden kann. Ferner 
hat der Prozessor Zugriff auf den Speicher 8 und ist an 
den Zufallsgenerator 10 angeschlossen. 

Der gesamte Betriebsablauf wird im Monitor 5 ge- 50 
steuert und uberwacht. Insbesondere steuert er den 
Schalter 3, uber welchen wahlweise der Monitor selbst, 
der Authentifikationsprozessor 6 oder der Chiffrierge- 
nerator 2 an den Kanalcodierer 6 angeschlossen werden 
konnen. Daneben wirkt der Monitor auf Chiffriergene- 55 
rator 2, den Authentifikationsprozessor 6 und den Ka- 
nalcodierer 4 ein. 

Das erfindungswesentliche Element des Chiffrierge- 
rats 12 ist der Authentifikationsprozessor 6. Er arbeitet 
nach dem nachstehend beschriebenen Verfahren zur Er- 60 
zeugung von authentifizierten Geheimschlusseln. 

Fig. 2 zeigt eine schematische Darstellung dieses Ver- 
fahrens, welches sich groB in zwei Abschnitte aufteilen 
laBt, in die Praauthentifikation und den Schliisselaufbau. 

In einem Netz mit einer Anzahl Teilnehmern muB 65 
jeder zuerst die Praauthentifikation durchfuhren. Diese 
sei am Beispiel desTeilnehmers A erlautert. 

Als erstes wahlt A einen geeigneten endlichen Korper 



GF(p) so daB vorzugsweise p— t mindestens einen gro- 
Ben Primfaktor enthalt und ein Element ae GF(p), wel- 
ches vorzugsweise primitiv ist. Ferner erzeugt er (ran- 
dom) eine erste Zahl 

xe 0. . .p— 2. 

Als zweites bildet er einen Authentifikationsschlussel 
a\ indem er das Element a in seinem endlichen Korper 
CF(p) mit der ersten Zufallszahl x potenziert. 

Und als drittes gibt er GF(p) % das Element a und Au- 
thentifikationsschlussel a* in authentifizierter Weise 6f- 
fentlich bekannt. Zu diesem Zweck geht er z. B. zu einer 
Schlusselzentrale und weist sich (z. B. mit einem Reise- 
paB) aus. Die Authentifikationszentrale tragt dann den 
Teilnehmer A und dessen offentliche Daten, namlich 
GF(p), a y a*, in eine offentliche Datei (public file) ein. 

Die erste geheime Zufallszahl x wird in einem zu- 
griffssicheren Speicher 9 (Fig. I) abgelegt und fur im- 
mer geheimgehalten. Sie kann z. B. als elektronische 
Geratenummer in einem Speicher abgelegt sein, wei- 
cher seinen Inhalt bei nicht autorisierten Leseversuchen 
zerstort. 

Auf analoge Weise fiihren die ubrigen Teilnehmer B, 
Cusw. die Praauthentifikation durch. 

Wenn der Teilnehmer A mit dem Teilnehmer B einen 
gesicherten Datenaustausch beginnen will, startet er die 
in der Kommunikationstechnik ublichen Protokolle und 
erzeugt dann auf die folgende Weise einen Schlussel. 

Er besorgt sich auf authentifizierte Weise. z. B. bei 
seiner Authentifikationszentrale oder von den offentli- 
chen Daten desTeilnehmers B: GF(q) t frp. 

Dann erzeugt er als erstes zufallig eine zweite Zahl 

xeQ...q— 2. 

Als zweites bildet er dann die GroBe P x , indem er das 
Element im endlichen Korper GF(q) des Teilnehmers B 
mit seiner zweiten Zufallszahl x potenziert. 

Ebenso verfahrt Teilnehmer 5, nachdem er erfahren 
hat, daB A mit ihm einen gesicherten Datenaustausch 
vornehmen will. Er hat also eine zweite Zufallszahl 

yeO. . .p— 2 

und die GroBe a y erzeugt. 

Als drittes tauschen A und fldie GroBen ft* und a-^aus 
und berechnen den gemeinsamen authentifizierten Ge- 
heimschlussel 



im kleinsten endlichen Korper GF(r), weicher GF(p) 
und GF(q) umfaBt. Teilnehmer A kann dies uber die 
Berechnung des Ausdruckes 

und Teilnehmer B uber die Berechnung von: 

Nach dieser Schlusselkonstruktion, die ebenso wie die 
Praauthentifikation im Chiffriergerat von Fig. I vom 
Authentifikationsprozessor 6 des jeweiligen Teilneh- 
mers durchgefuhrt wird, kann der gesicherte Datenaus- 
tausch beginnen. 
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Ahnlich wie beim bekannten Diffie-Hellman-Verfah- 
ren kennt ein Eindringlich beim vorliegenden Verfahren 
nur die GrdBen a* t a y % fP\ p x was nach den heutigen 
Kenntnissen nicht genugt, urn den Geheimschlussel 
a*y . p*y \ n angemessener Zeit zu berechnen, wenn der 5 
endliche Kdrper geeignet gewahlt wurde. Es kann sich 
keiner fur A oder B ausgeben, falls die Praauthentifika- 
tion korrekt durchgefuhrt wurde und die allenfalls vor- 
handene Schlusselzentrale keine falschen Authentifika- 
tionen vornimmt. (Letzters ware gleichbedeutend mit 10 
einer Behorde, die PaBfalschungen vornimmt.) 

SchlieBlich bleiben selbst beim Bekanntwerden eines 
Identifikationscodes x, y die in der Vergangenheit aus- 
getauschten Daten gesichert. Als einziger bekannter 
Angriff kann sich ein Dritter fur den entsprechenden 15 
Teilnehmer wahrend zukiinftigen Schlusselkonstruktio- 
nen ausgeben. 

Eine Tatsache, die sich vor allem im Hinblick auf eine 
effiziente Implementierung des erfindungsgemaBen 
Verfahrens positiv auswirkt, ist die, daB sowohl in der 20 
Praauthentifikation als auch beim Schlusselaufbau als 
aufwendige mathematische Operation nur die Exponen- 
tiation auftaucht. GemaB einer bevorzugten Ausfiih- 
rungsform verwenden die Teilnehmer A und B dabei 
denselben endlichen Kdrper GF(p) und dieselbe Basis a. 25 

Die Verwaltung der Authentifikationsschlussel a*, 
ist sehr einfach. In einem Netz mit M Teilnehmern ge- 
niigt eine Tabelle, deren GrdBe proportional zu M ist. 

Der Identifikationscode x kann z. B. eine Art elektro- 
nische Geratenummer sein, die z. B. in der Betriebnah- 30 
me des Gerats im zugriffsgesichertem Speicher 9 abge- 
speichert wird. Bei dieser Gelegenheit konnen auch die 
Authentifikationsschlussel weiterer Gerate (2. B. einer 
Authentifikationszentrale) installiert werden. Bei einer 
solchen Vorgehensweise sind nicht die Benutzer (Teil- 35 
nehmer), sondern die Gerate authentifiziert, was in vie- 
len Anwendungen das eigentliche Ziel ist. 

Patentanspruche 

40 

1. Verfahren zur Erzeugung von authentifizierten 
Geheimschliisseln, dadurch gekennzeichnet, daB 
in einem Netz mit Teilnehmern A und B fur eine 
Praauthentifikation jeder Teilnehmer /\(resp. B) 

a) einen endlichen Kdrper GF(p)(resp. GF(q)% 45 
ein Element a (resp. P) aus dem endlichen Kdr- 
per GF(p)(resp> GF(q)) und eine erste geheime 
Zufallszahl \x e 0 . . . p— 2) (resp. \y eO . . . q — 2\) 
wahlt, 

b) daB er einen Authentifikationsschlussel a* 50 
(resp. pP) bildet, indem er sein Element a (resp. 

fi) mit seiner ersten geheimen Zufallszahl x 
(resp.y^potenziert, 

c) und daB er seinen Authentifikationsschlussel 

<r v (resp. (P) zusammen mit dem endlichen 55 
Kdrper GF(p)(resp. GF(q)) und das Element a 
(resp. p) in authentifizierter Weise dffentlich 
bekanntgibt, 

und fur einen authentifizierten Schlusselauf- 
bau zwischen zwei Teilnehmern A (resp. B) eo 

d) jeder der beiden Teilnehmer A und B eine 
zweite geheime Zufallszahl \x c 0 ... q—2) 
(resp. {yeO . . . p— 2|) und 

e) einen Betriebsschlussel ft* (resp. a*) erzeugt, 
indem er das Element p (resp a) des anderen 65 
Teilnehmers #(resp. A) ma seiner zweiten ge- 
heimen Zufallszahl *(resp. y^potenziert, 

f) und die beiden Teilnehmer A und B den 
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Betriebsschlussel 0*(resp. a?) austauschen und 
den gemeinsamen authentifizierten Geheim- 
schlussel berechnen 

ct* y pf*. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die Teilnehmer in der Praauthentifi- 
kation und beim Schlusselaufbau denselben ge- 
meinsamen endlichen Kdrper GF(p) verwenden. 

3. Verfahren nach Anspruch 2, dadurch gekenn- 
zeichnet, daB die Teilnehmer dasselbe Element (a) 
wahlen. 
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select: 

GF(q), p 6 GF(q ) 

random: 

A 
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GF(p),c< <C 



Public file? 

A: GF (p), e£ / e£ 
B:GF(q) / P i p Y 

C: 



A 

y 



GF(q),/3, 0 



random: 

X € {o .q-2 } 



(dC y ) X GF(r) 




random: 

ye {o.. p -2} 
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(/3 x ) y <oC x ) € GF(r) 
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